楽天・PayPayで情報漏洩事件
年末のドタバタしている時期にまた情報漏洩のニュースが今度は楽天、PayPayで最大148万件の顧客情報に外部からのアクセスが可能な状態にあるという、情報漏洩が起こったようです。
※ちなみに年が始まってまだ7日ですが、福岡県ではクラウド上にアップロードしたコロナ感染者の個人情報9500人分を誤送信し、閲覧できるという、情報漏洩がありました。
原因はセールスフォースでの設定ミスと言われていますが(福岡県の情報漏洩については不明)、セールスフォースなどクラウド型のサービスを使うと、一元管理でき便利になる反面、アカウント設定を一つ間違えると、見せてはいけない情報が公開されてしまったり、本当は、権限のないユーザーのはずなのに、個人情報を確認することができるなど簡単な設定で変更が可能なため情報漏洩が発生するミスが発生します。
また、セールスフォースのようなクラウドサービスを利用することで、機能が多くなり、設定をする担当者が機能をすべて把握していない場合、確認ミスや、設定ミスは起こりやすく、そもそもそんな機能があることを知らない、なんてこともあると思います。
クラウドシステムのメリットとして常に最新技術を利用出来るの事が挙げられますが、機能追加や、仕様変更が多く発生する為、最新の情報を確認共有し続けるのも難しいのも事実です。
今回の情報漏洩についてはセールスフォースが、特定の機能を利用していた際に、初期設定で公開されてしまうことがあったようなので、責任の所在は難しい所ですが、
アクセス権限を設定する機能を提供するのが、『セールスフォースの責任』で、
機能を正しく設定するのは、『ユーザー側の責任』
というのが、クラウドサービスのルールではあります。
近年は、外部からの攻撃だけではなく、この設定ミスが情報漏洩の原因であることが圧倒的に多いです。
今後テレワークで外部との情報共有を増やすと、設定ミスで情報漏洩という話が増えるのではないでしょうか?
情報漏洩を防ぐための対策
では、どう情報漏洩はどう防ぐのか?かというと気を付けるべきは3つだと思います。1、データ管理をする際の管理方法を出来るだけシンプルに
2、データ管理者の意識
3、ルールの共有と周知
1、データ管理をする際の管理方法を出来るだけシンプルに
データ管理上、権限を増やして管理者機能を細かく設定することで、使う側は便利になるかもしれませんが、設定上のミスは増えます。これを、データを使える人、データを閲覧できる人、(少し極端ですが)パターンを減らし、管理責任者の負担を減らすことで、ミスを減らす。
2、データ管理者の意識の問題
データ管理者が、何が見えていたら情報漏洩になるのかの危機意識と、個人情報などのデータの重要性を理解することです。ちなみに先ほど出した、福岡県の例では11月に判明し、指摘されていたにもかかわらず、1ヶ月以上、改善されず放置されていたようです。一人でも、このデータは公開されてはいけないデータだと事前に気づくことができれば、情報漏洩は起きませんし、ミスも減ります。
3、ルールの作成とそれを知ってもらう周知
ルールを作ることで、テレワークなど不便になる点も多くあると思いますが、個人でデータを勝手に管理し、社外に持ち出すなどされては、情報漏洩は防ぎようもありません。便利になるからと言ってデータを自由に持ち出すのではなく、業務に必要な情報のみを共有し、重要な個人情報は社外に出さないよう管理すべきです。過去の事例を知ってデータ管理の重要性を考える
昨年は、セキュリティや個人情報漏洩など、毎月、聞かないことがないほどの事件がありました。・セブンイレブンの7payの不正アクセス
・カプコンの外部からのサイバー攻撃
・株式会社NTTドコモの「ドコモ口座」を悪用した不正出金
などもありました。
ちなみにどんなものが年間で発生したかは
https://www.security-next.com/category/cat191/cat25
https://cybersecurity-jp.com/leakage-of-personal-information
にて最新ニュースを確認できます。
設計ミスや、不正なアクセス、サイバー攻撃など原因は様々ですが、きっかけとして人為的なミスが原因として情報漏洩してしまったり、攻撃を受けることが多く発生しています。
社内のデータ管理について、過去の事例を踏まえ、知識をもって対応する重要性を年初から考えるいい機会なのではないでしょうか?
